Rossz ötlet, ha a tűzfal blokkolja az ICMP-t?

Ezt a kérdést ez a válasz ihlette , amely részben kimondja:

Az általános tűzfal-manifeszt fájl azzal fejeződik be, hogy eldobja mindazt, amit egyébként nem engedélyeztem (az ICMP-n kívül. Ne kapcsolja ki az ICMP-t).

De valóban jó gyakorlat, ha a tűzfal engedélyezi az ICMP-t? Milyen biztonsági következményekkel jár, és vannak-e olyan esetek, amikor az ICMP-t ki kell kapcsolni?

Megjegyzések

Válasz

Más IP protokollokkal összehasonlítva az ICMP meglehetősen kicsi, de nagyon sok különböző funkciót szolgál ki. Alapjában az ICMP-t tervezték az IP hibakeresési, hibaelhárítási és hibajelentési mechanizmusaként. Ez őrülten értékesvé teszi, ezért sok gondolkodásra van szükség a leállításához. Kicsit olyan lenne, mintha a >/dev/null 2>&1 -t az összes cron bejegyzésed végére ragasztanám.

Legtöbbször, amikor az ICMP blokkolásáról beszélek másokkal, “újra valóban a pingről és a traceroute-ról beszélünk. Ez 3 típusra változik

  • 0 – Visszhang válasz (ping válasz)
  • 8 – Visszhang kérés (ping kérelem)
  • 11 – túllépte az időt

Ez a 3 típus a 16-ból. Nézzünk meg néhány másik elérhető ICMP-t.

  • 4 – Forrás kioltása (útválasztó által küldve, hogy megkérje a gazdagépet, hogy lassítsa az átvitelét)
  • 3 – A cél elérhetetlen (16 különféle üzenetből áll, a töredezettség jelentésétől a tűzfalig terjedve) egy port bezárása)

Mindkettő felbecsülhetetlen lehet a nem rosszindulatú gazdagépek megfelelő működésének fenntartása érdekében a hálózaton. Valójában kettő van (valószínűleg több, de ezek a legkézenfekvőbbek) nekem) nagyon jó esetek, amikor nem korlátozni akarja az ICMP-t.

  • Elérési út MTU Discovery – A Don “t töredék zászló és a 3-as típusú 4-es kód kombinációját használjuk (cél elérhetetlen – töredezettség szükséges, és DF jelzőkészlet), hogy meghatározzuk a gazdagépek közötti út legkisebb MTU-ját. Így elkerüljük a töredezettséget az átvitel során.
  • Az Active Directory megköveteli, hogy az ügyfelek pingeljék a tartományvezérlőket a GPO-k lehúzása érdekében. A ping segítségével meghatározzák a “legközelebbi” vezérlőt, és ha egyik sem válaszol, akkor feltételezzük, hogy egyik sincs elég közel. Tehát a házirend-frissítés nem történik meg.

Ez nem azt jelenti, hogy feltétlenül mindent nyitva kell hagynunk a világ számára. A felderítés lehetséges az ICMP-vel, és általában ez az oka a blokkolásnak. Használhatja a pingeket annak megállapítására, hogy a gazdagép valóban be van-e kapcsolva, vagy a Túllépett idő (egy nyomjelző útvonal részeként) a hálózati architektúrák feltérképezéséhez, vagy Rory megtiltja az átirányítást (5. típusú 0 kód) a gazdagép alapértelmezett útvonalának megváltoztatásához. / p>

Mindezek figyelembevételével tanácsom, mint mindig, mérlegelt és átgondolt megközelítést alkalmazzon védelmeivel kapcsolatban. Az ICMP teljes blokkolása valószínűleg nem a legjobb ötlet, de ha kiválasztja és kiválasztja a mit blokkolja, és oda / onnan hol valószínűleg el fogja juttatni, amit szeretne.

Megjegyzések

  • apró részletek: Bár az ICMP opcionális az IPv4-ben, az IPv6 köteles a normális működésre. Az ICMP szerepe sokat változott. Könnyű olvasmány: blogs.cisco.com/security/icmp-and-security-in-ipv6
  • @Mike Azt hiszem, nem voltam ‘ egyértelmű, de kifejezetten a v4-ről beszéltem. Az IPv6 elég más vadállat, amelyet valóban teljesen más protokollként kell kezelnünk a v6-os hálózatok tervezésénél és védelménél.
  • +1 ” .. vagy Rory tiltja … ” I Valójában hangosan felnevettem.
  • @tylerl: Én is nevettem, hogy írtam. Megengedett, hogy ittam egy kis bort, és már 1,5 óra elmúlt az ágyam lefekvése előtt.
  • A Forrás oltása hivatalosan megszűnt ( RFC 6633 ). És évtizedek óta alig látni az interneten.

Válasz

Az ICMP okkal létezik, és nem minden ok ping. Ez a “meta” protokoll, amelyet a magáról a hálózatról szóló vezérlő üzenetek közlésére használnak. Tekintse meg a ICMP-t a Wikipédián , hogy minél jobb képet kapjon arról, hogy mi ez és mire szolgál.

Az ICMP egyéb üzenetei közé tartozik a célállomás elérhetetlen elérése, a széttöredezés szükséges, a torlódások ellenőrzése, a TTL túllépése, az IP protokoll hibái és még sok más.

A hálózat ICMP nélkül fog működni – a rugalmasság a csomagcseppekkel szemben az IP egyik fő erőssége -, de lassabban, kevésbé hatékonyan fog működni, és e jelek előnye nélkül segít diagnosztizálni és megoldani a problémákat .

Az ICMP-vel kapcsolatos biztonsági problémák általában a homályosabb “információk nyilvánosságra hozatali” problémái. Például, ha az útválasztó ICMP-üzenetet küld valakinek, akkor az a valaki tudja, hogy van routere. Talán a támadó ismeri Önt van egy router, ami miatt aggódsz, vagy valószínűbb, hogy nem. De a biztonsági kutatások általában csak a csend oldalán tévednek hogy biztonságban legyünk, minden esetre.

Esetenként előfordul, hogy egy operációs rendszerben van egy ICMP-vel kapcsolatos “halál ping” stílusú sebezhetőség. Jelenleg egyik sem létezik a mainstream operációs rendszerekben. De a biztonság szószólói még egyszer tévednek az óvatosság mellett, minden esetre.

Megjegyzések

  • Ön ‘ tévedek, de egyetértek azzal, hogy a rendszeres felhasználóknak / rendszergazdáknak nem szabad blokkolniuk az ICMP-t. Az ICMP-vel kapcsolatban számos kritikus biztonsági probléma merül fel. A fő probléma az ellenőrzési szintű visszacsatolás (ttl-túllépés), amelyet nemcsak a célállomás, hanem a közbenső komló is küld. Használható eszköz ujjlenyomat-készítéséhez a jellemzők (kezdeti TTL, IP jelzők és még fontosabb IP) alapján Azonosítója). Ezenkívül az ICMP üzenetek visszacsatolást is jelenthetnek a tűzfal bejárásához, és a TCP ablakellenőrző tűzfalakkal kombinálva sorszám-következtetési támadásokat hajthat végre.

Válasz

Hogy őszinte legyek, okos szűrni néhány kimenő ICMP-t mind az útválasztó, mind a szoftveres tűzfal szintjén, mint extra biztonsági réteget.

Nem fontos, hogy megállítsak egy DoS vagy DDoS, de a rosszindulatú emberek még mindig használják az ICMP-t, hogy megpróbálják megszerezni a lehető legtöbb információt a hálózatról, mielőtt megpróbálnák megsérteni azt.

Nem azt mondom, hogy CSAK ICMP-t használnak, de ez egyike a kevésnek az általuk használt csomagtípusok, és attól függően, hogy nyitva vannak-e az árvíz kapui, nagyon rövid idő alatt nagy részletességű információkhoz juthatnak.

Szánjon egy kis időt a Google-ra, és keressen információkat arról, hogy az NMAP és a Kevés más program használja az ICMP-t az információgyűjtés egyik forrásaként, majd alapozza meg a szűrőket azon a véleményen, amely szükségesnek érzi magát a a hálózata.

Ha lehetséges, állítson be egy belső teszthálózatot (én személy szerint vettem egy olcsó másodlagos wifi routert, és tűzfalként rendelkezem másodlagos számítógéppel, hogy teszteljem az összes útválasztóm / ipchain / szoftver tűzfalam beállításokat, mielőtt a háztartásomban alkalmaznám őket a fő hálózaton, és minden olyan ügyfelet, aki a hálózataim védelmére bérel.

Nagyon bátorítom az embereket, hogy próbálkozzanak néhány kutatással a portok vizsgálatával és a tűzfalak megsértésével kapcsolatban. saját hálózatot, hogy jobban megvédhessék magukat és minden családot, akinek segítséget nyújtanak.

Íme néhány forrás, amelyet korábban használtam és a barátaimhoz utaltam. Nincs információbiztonság, hogyan használják az ICMP-t a felderítéshez

És

InfoSec Institute ICMP támadások

A támadások egy része már nem életképes, de vannak újabb Smurf formák, amelyek továbbra is működnek, mivel a programozó képes volt újrakódolni az eredeti támadást és változtassa meg a működését és az erőforrások felhasználását.

Ásson körül, és a google a barátja a Stack Exchange-szel együtt, és a duckduckgo keresőmotor is csodálatos az erőforrások számára, amelyeket a Google kiszűrhet, csak légy óvatos és használja észeit!

22 éve vagyok számítógép-technikus és 10 évig hálózati biztonsággal foglalkozó szakember. Jelenleg az ECH-n és a CPTS-en dolgozom, és ezek befejeztével az offenzív biztonsági tanfolyamokat nézem.

Remélem, hogy ez segít, és mások is hasznosnak találják ezeket az információkat, amikor visszaállítom a rendszerre készített biztonsági másolatokat, és megtalálom az ezzel kapcsolatos egyéb linkjeimet és forrásaimat, frissítem ezt a választ.

Válasz

Az ICMP blokkolása nemcsak haszontalan, de a legtöbb esetben káros is. Számos oka van annak, hogy miért nem szabad blokkolnia az ICMP-t, ha nem biztos abban, hogy mit csinál, és különösen miért. Igen, az icmp ping segíthet másoknak a hálózat “profilozásában”. De legyünk őszinték, ha egyáltalán van nyitva tcp szolgáltatás, akkor látni fogja. Ha csak eldobja a csomagokat, akkor látni fogja. Ha rosszul reagál, akkor látni fogja.Tehát, ha úgy gondolja, hogy fontos szervereinket el kell rejtenie a hálózaton, mert biztonságosabbá teszi őket, akkor amikor letiltja az icmp-jét, akkor lehetséges, hogy a gazdagépe még fényesebb célpont. Rengeteg módja van annak, hogy rosszul csináld, hogy megtörd az mtu elérési útját, a torlódásszabályozást stb., És még a kiszolgálót is kiemelje a tömegből. Tehát a dió cellában ne blokkolja az icmp-jét, ha nincs igazán jó oka arra, majd óvatosan végezze el, és olvassa el az icmp protokoll specifikációit, hogy megértse, mit és miért csinál, amit csinál. Igen, jó ötlet lehet blokkolni az icmp átirányítást a hálózat szélén, ha nem biztos benne, hogy van-e régi rendszermagja. De egy másik kéz jobb, ha frissíted a szervereidet és más gazdagépeket (megoldod a valós problémákat), mint elrejted őket szőnyeg alá, ahol valaki úgyis megtalálja a hibáidat.

Válasz

Amint a protokoll felépítéséből is látszik, minden attól függ, hogy milyen területen használják, és mivel a tűzfalak képesek a típus- és kódparaméterekre reagálni, Ön eldöntheti, hogy mit adjon át a tűzfalon és mi nem. Nyilvánvaló, hogy ha a tűzfal megkapja az ICMP Echo kérést, és nem okoz gondot, ha tudatja vele, hogy a célállomás aktív-e vagy sem, akkor a tűzfalnak képesnek kell lennie arra is, hogy az Echo Válasz átmenjen. De légy óvatos: Az ICMP-csomagokat DPI-nek kell alávetni, azaz összhangban kell lenniük a csomag specifikációival: Ha egy ICMP-csomag áthaladt a bejövő / kimenő tűzfalon, és a hálózatán belül egy vagy több gazdagépen rosszindulatú program volt, ezek a gazdagépek parancsokat szerezhettek egy C & C szerverről, és kiszűrhették az információkat a kiszolgálóra. Általában nem gondolom, hogy bölcs dolog a határ routereken használni, de a belső hálózati diagnosztikához igen.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük